WCF是否受到FREAK攻击的影响?

时间:2015-03-05 11:09:49

标签: wcf ssl wcf-security man-in-the-middle

有一种名为FREAK的新攻击

WCF是否受到FREAK攻击?

据我所知this question,如何在WCF中以编程方式指定允许的密码。

1 个答案:

答案 0 :(得分:1)

FREAK需要三件事才能发挥作用:

  • 服务器,允许“弱”(导出)密码套件请求
  • 易受攻击的客户端,由于OpenSSL /安全传输错误而允许“弱”密码套件响应
  • 中间的人,例如您的ISP或服务器网络上的公共热点或流氓机器

来自你链接的文章:

  

目前,Windows和Linux终端用户设备不会受到影响。

因此,如果您让Android或Apple客户端直接与任何允许“导出”cihper套件的服务器上的HTTPS站点通信,那么这些客户端就容易受到攻击。

如果该站点碰巧运行可通过HTTP访问的WCF服务(BasicHttp / SOAP 1.1,WsHttp / SOAP 1.2),那么是的,您的WCF服务很容易受到攻击。这意味着客户端可以看到服务器未发送的内容,并且中间的人可以读取服务器和客户端正在交换的所有流量。